Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 5.3
Wydano 22 lipca 2019 r.
Bluetooth
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może być w stanie przechwycić ruch Bluetooth (Key Negotiation of Bluetooth — KNOB).
Opis: w interfejsie Bluetooth występował błąd sprawdzania poprawności danych wejściowych. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-9506: Daniele Antonioli z SUTD, Singapur, dr Nils Ole Tippenhauer z CISPA, Niemcy oraz prof. Kasper Rasmussen z Uniwersytetu Oksfordzkiego, Anglia
Zmiany tego problemu zmniejszają wpływ CVE-2020-10135.
Wpis dodano 13 sierpnia 2019 r., uaktualniono 25 czerwca 2020 r.
Podstawowe dane
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8646: natashenka z Google Project Zero
Podstawowe dane
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2019-8647: Samuel Groß i natashenka z Google Project Zero
Podstawowe dane
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8660: Samuel Groß i natashenka z Google Project Zero
Digital Touch
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8624: natashenka z Google Project Zero
FaceTime
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8648: Tao Huang i Tielei Wang z Team Pangu
Heimdal
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: w oprogramowaniu Samba występował błąd, który mógł umożliwić osobom atakującym wykonywanie nieautoryzowanych czynności przez przechwytywanie komunikacji między usługami.
Opis: ten błąd naprawiono przez poprawienie sprawdzania w celu uniemożliwienia wykonywania nieautoryzowanych czynności.
CVE-2018-16860: Isaac Boukris i Andrew Bartlett z Samba Team and Catalyst
Przetwarzanie obrazu
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2019-8668: anonimowy badacz
Wpis dodano 8 października 2019 r.
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2019-8633: Zhuo Liang z Qihoo 360 Vulcan Team
Wpis dodano 17 września 2019 r.
libxslt
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może być w stanie ujawnić poufne informacje.
Opis: naprawiono błąd przepełnienia stosu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-13118: wykryte przez OSS-Fuzz
Wiadomości
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: użytkownicy usunięci z rozmowy iMessage mogą być nadal w stanie modyfikować stan.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2019-8659: Ryan Kontos (@ryanjkontos), Will Christensen z University of Oregon
Wiadomości
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2019-8665: Michael Hernandez z XYZ Marketing
Szybki przegląd
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca może być w stanie wyzwolić użycie po zwolnieniu w aplikacji deserializującej klasę NSDictionary.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2019-8662: natashenka i Samuel Groß z Google Project Zero
Siri
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8646: natashenka z Google Project Zero
UIFoundation
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przeprowadzenie analizowania złośliwie spreparowanego dokumentu pakietu Office może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8657: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
Zdjęcie paszportowe
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: użytkownik może przypadkowo dokończyć zakup w aplikacji na ekranie blokady.
Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.
CVE-2019-8682: Jeff Braswell (JeffBraswell.com)
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8658: akayn w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8669: akayn w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8672: Samuel Groß z Google Project Zero
CVE-2019-8676: Soyeon Park i Wen Xu z SSLab w Georgia Tech
CVE-2019-8683: lokihardt z Google Project Zero
CVE-2019-8684: lokihardt z Google Project Zero
CVE-2019-8685: akayn, Dongzhuo Zhao w ramach ADLab firmy Venustech, Ken Wong (@wwkenwong) z VXRL, Anthony Lai (@darkfloyd1014) z VXRL oraz Eric Lung (@Khlung1) z VXRL
CVE-2019-8688: Wen Xu z SSLab w Georgia Tech
CVE-2019-8689: lokihardt z Google Project Zero
Dodatkowe podziękowania
MobileInstallation
Dziękujemy za udzieloną pomoc: Dany Lisiansky (@DanyL931).